信息來源:Freebuf
近日,圍繞華為L20首席安全專家為Linux內(nèi)核提交補丁卻被發(fā)現(xiàn)漏洞,國內(nèi)外有了很多的討論。今天想和大家梳理一下整個事件,理性判斷。
事情從5月10日開始,華為在內(nèi)核加固郵件列表上公開了一個針對Linux內(nèi)核防御的方案HKSP,這也是很多大型科技公司的常見做法。
但很快,PaX/GRsecurity團隊找到了HKSP方案的一些漏洞并且在網(wǎng)站上公開。針對漏洞問題,此事開始在一些社交網(wǎng)站引發(fā)討論,不斷發(fā)酵。
爭論的點在于:
1、這是否是華為的公司項目 ;
2、如果是公司項目,HKSP是否已經(jīng)集成到華為產(chǎn)品中,帶來安全威脅(HKSP補丁在內(nèi)核代碼中引入了一個“輕而易舉就能利用的”漏洞)。
同時,也由此引發(fā)了多種基于政治背景下的陰謀論。
而在GRsecurity最先發(fā)布的博文里寫道:HKSP作者是一位在華為工作的20級的高級安全雇員;HKSP是一個完全缺乏防御性的程序,引入了可輕易利用的漏洞。
對此,HKSP作者(未經(jīng)證實的信息顯示該作者是HKSP的長期開發(fā)者)在內(nèi)核加固郵件列表中解釋說:這個并不是公司項目而是個人的開源項目。
而在ZeroBin上我們看到了疑似作者的發(fā)聲:
在Github上的作者自述文件中,作者則進一步解釋了,這些是demo code,是主要為了快速驗證這些漏洞緩解措施是否有效的poc代碼,因此沒有加入安全參數(shù)檢查。
而5月11日,華為產(chǎn)品安全應(yīng)急響應(yīng)中心發(fā)布公告指出:經(jīng)過調(diào)查HKSP并沒有集成到任何的華為當(dāng)前產(chǎn)品中。
5月12日,作者已經(jīng)把HKSP名稱修改為AKSP。
最后,此次事件放在一個任何普通的公司都是一件小事,但加上華為、grsecurity、中美貿(mào)易三個杠桿,足以矚目。再加上此前華為也曾被指責(zé)在設(shè)備中安裝后門,此次就補丁漏洞事件引發(fā)的爭論難免讓人聯(lián)想,是否逐漸脫離事件本身。從開源代碼貢獻的角度來看,全世界范圍內(nèi)有上萬程序員為Linux 內(nèi)核貢獻代碼,而HKSP作者是其中一員,因此,大家對于此事的討論或許更應(yīng)該集中于開源代碼漏洞本身以及后期修復(fù)、處理工作上,而不是盯住瑕疵一味爭論。